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Beschreibung 

Verfahren zur Oberwachung des Programmlauf s in einem Mikro- 
computer 

5 

Die Erfindung betrifft ein Verfahren zur Oberwachung des Pro- 
grammlaufs in einem Mikrocomputer eines elektronischen Gera- 
tes, insbesondere einer Sensorschaltung fttr Kraf tf ahrzeuge, 
wobei das Programm Eingangsdaten verarbeitet und Ausgangsda- 
10 ten erzeugt. 

Bei elektronischen Geraten, die mit einem Mikrocomputer aus- 
gertistet sind, kann es durch Defekte im Mikrocomputer, insbe- 
sondere bei fehlerhaftem Programmlauf, zu Ausfallen und Fehl- 
15 funktionen kommen. Bei Sensorschaltungen fur Kraf tf ahrzeuge 
und anderen sicherheitsrelevanten Geraten konnen derartige 
Fehler zu Gefahrdungen fuhren, die mit sehr grower Sicherheit 
vermieden werden muss en. 

20 Aufgabe der vorliegenden Erfindung ist es daher, den Pro- 
grammlauf in einem Mikrocomputer m6glichst vollstandig und 
sicher zu uberwachen und somit durch ein geeignetes Alarmsig- 
nal Benutzer zu informieren oder in verbundenen Systemen Ge- 
genmaiinahmen einzuleiten. 

25 ' 

Diese Aufgabe wird bei einer ersten Ausftihrungsf orm der Er- 
findung dadurch gelost, dass zusatzlich zu dem Lauf des Pro- 
gramms eine Kopie des Programms, die in einem anderen Adres- 
senbereich als das Programm im Mikrocomputer gespeichert ist, 

3.0 mit den fur das Programm vorgesehenen Eingangsdaten ablauft 
und dass die Ausgangsdaten der Kopie mit denen des Programms 
verglichen werden und bei NichtUbereinstiramung eine Fehler- 
meldung erzeugt wird. Diese Ausftihrungsf orm berucksichtigt , 
da,ss bei einem an sich einwandf reien Programm ein Hardware- 

35 bedingter Fehler wahrend des Ablaufs des Programms nicht auch 
bei einem identischen Programm auftritt. 
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Hit einer Weiterbildung kann die Kopie des Programms dadurch 
uberprtift werden, dass ein weiterer Lauf der Kopie vorgesehen 
ist, bei welchem vorgegebene Testdaten verarbeitet werden, 
dass die Ausgangsdaten des weiteren Laufs der Kopie mit in 
einem Speicher abgelegten Vergleichsdaten verglichen werden 
und dass bei Nichtubereinstimmung eine Fehlermeldung erzeugt 



wird. 



Urn insgesamt den Lauf des Programms einschliefilich des zur 
Oberwachung dienenden Programms kontrollieren zu konnen, ist 
bei einer Weiterbildung des erf indungsgemafien Verfahrens vor- 
gesehen, dass nach dem Lauf des Programms und nach dem Lauf 
von Programmteilen, welche zur Durchfiihrung des erf indungsge- 
maJJen Verfahrens dienen, jeweils ein Flag gesetzt oder gean- 
15 dert wird und dass eine Fehlermeldung erzeugt .wird, wenn 
nicht alle Flags gesetzt oder geandert wurden. 

Eine zweite Ausf uhrungsf orm der Erfindung dient zur Oberwa- 
chung des Programmlaufs in mindestens zwei miteinander ver- 
20 bundenen Mikrocomputern eines elektronischen Cerates, insbe- 
sondere einer Sensorschaltung fur Kraf tfahrzeuge, und besteht 
darin, dass in einem der Mikrocomputer eine Anf rage erzeugt 
wird, welche an den anderen Mikrocomputer gesendet wird und 
dort mit vorgegebenen Eingangsdaten den Lauf eines Programms 
bewirkt, dass eine von den Ausgangsdaten abhangige Antwort an 
den einen Mikrocomputer zuruckgesendet wird und dass in dem 
einen Mikrocomputer die Anforderung und die Antwort miteinan- 
der verglichen werden. Auch hierbei kann wieder vorgesehen 
sein, dass das Programm eine Kopie eines die eigentliche 
Funktion des anderen Mikrocomputers ausfvlhrenden Programms 



ist . 



Sowohl eine Oberwachung desjenigen Computers, in dem das ge- 
nannte Programm lauft, als auch eine Kontrolle der Oberwa- 
chung ist bei der zweiten Ausf Uhrungsf orm der Erfindung da- 
durch mSglich, dass die Antwort von Zeit zu Zeit verfalscht 
wird, was in dem anderen Mikrocomputer zunachst als Fehler 
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des einen Mikrocomputers erkannt wird, jedoch in dem einen 
Mikrocomputer erwartet und gepruft wird. 

Auch hierbei kann der Programmlauf dadurch kontrolliert wer- 
5 den, dass nach dem Lauf des Programms und nach dem Lauf von 
Programmteilen, welche zur Durchfiihrung des erf indungsgemaften 
Verfahrens dienen, jeweils ein Flag gesetzt Oder geandert 
wird und dass eine Fehlermeldung erzeugt wird, wenn nicht al- 
le Flags gesetzt oder geandert wurden, wobei wiederum die 
10 Kontrollfunktion des anderen Computers dadurch uberwacht 

wird, dass der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst als 
Fehler des einen Mikrocomputers erkannt wird, jedoch in dem- 
einen Mikrocomputer erwartet und gepruft wird. 

15 

Da der jeweils andere Computer nicht zwischen Fehlern beim 
Programmlauf und den absichtlich von Zeit zu Zeit eingebrach- 
ten Fehlern unterscheiden kann, ist bei einer Weiterbildung 
vorgesehen, dass ein Fehlerzahler in einem der Mikrocomputer 

20 Fehler, die fur den jeweils anderen Mikrocomputer festge- 
stellt wurden, z^hlt und dass bei Einfiigen -einer falschen 
Antwort und/oder einer Verfalschung des Flagregisters der 
Zahlerstand des Fehler zahlers in demjenigen Mikrocomputer, in 
dem die Einfiigung der falschen Antwort bzw. die Verfalschung 

25 des Inhalts des Flagregisters stattfand, nicht geandert wird. 

Die Erfindung lasst zahlreiche Ausf uhrungsf ormen zu. Zwei da- 
von sind schematisch in der Zeichnung anhand mehrerer Figuren 
dargestellt und nachfolgend beschrieben. Es zeigt: 

30 

Fig. 1: ein Blockschaltbild eines Anwendungsbeispiels fur 
das erfindungsgemalie Verfahren, 

eine Darstellung verschiedener Funktionen zur 0- 
berwachung des Programmlauf s in einem Mikrocompu- 
ter, 



Fig . 2 : 

35 
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Fig. 3: ein Flussdiagramm eines Programms zur Realisie- 
rung der in Fig. 2 erlauterten Funktionen und 

Fig. 4: in Form eines Blockdiagramms die gegenseitige 
5 Oberwachung zweier Mikrocomputer . 

Im Zusammenhang mit den Ausfuhrungsbeispielen wird das Pro- 
gramm auch Software-Routine genannt. 

10 Das Anwendungsbeispiel gemaJi Fig. 1 stellt einen Drehraten- 

sensor fur ein Kraftf ahrzeug dar, mit einem Vibrationskreisel 
1, der Teil eines Sensormoduls 2 ist. Dies weist eine Reihe 
von Schaltungen zum Betrieb des Vibrationskreisels und zu der 
Auswertung der Signale des Vibrationskreisels auf , unter an- 

15 derem auch einen Mikrocomputer 3. Dieser ist uber einen SPI- 
Bus 4 mit einem weiteren Mikrocomputer 5 verbunden, der im 
folgenden auch Host genannt wird. Von diesem gelangt die 
Drehrateninformation iiber einen CAN-Bustreiber 6 an einen 
CAN-Bus 7 zur Weiterleitung an andere Systeme im Kraftfahr- 

20 zeug. 

Da es zum Verstandnis der Erfindung nicht erforderlich ist, 
sind der Vibrationskreisel 1 und das Sensormodul 2 nicht na- 
her erlautert. Wegen der Sicherheitsrelevanz des Drehraten- 
25 sensors ist eine Oberwachung der ordnungsgemalien Funktion der 
Mikrocomputer 3, 5, insbesondere des Programmlauf s, vorgese- 
hen . 



30 



35 



Bei dem in Fig. 2 dargestellten Beispiel sind diejenigen 
Funktionen, die der eigentlichen Funktion des Mikrocomputers 
{Primary function) dienen, als Rechtecke dargestellt. Bei 11 
werden Eingangsdaten gelesen - beispielsweise aus den in Fig. 
1 angedeuteten Schaltungen des Sensormoduls 2 - und in der zu 
uberwachenden Software-Routine bei 12 verarbeitet. Die Ergeb- 
nisse dieses Programmlauf s werden bei 13 ausgegeben - im Fal- 
le von Fig. 1 letztendlich auf den CAN-Bus 7. Die betroffenen 
Mikrocomputer arbeiten in der Regel mit einer Reihe von Soft- 
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ware-Routinen, die sich zu einem Programmsystem erganzen. In 
Fig. 2 ist die Oberwachung einer Routine dargestellt, die bei 
Vorhandensein von mehreren Routinen besonders wichtig ist. 
Mit dem erfindungsgemaGen Verfahren konnen jedoch auch mehre- 
5 re Routinen iiberwacht werden. 

In dem Mikrocomputer 3, 5 (Fig. 1) ist auAer der zu uberwa- 
chenden Software-Routine in einem anderen Adressenbereich ei- 
ne Kopie der Software-Routine abgelegt - im folgenden Kopie 

10 genannt.. Zur Oberprufung des ordnungsgemalien Programmlauf s 
der Original-Routine wird in einem ersten Schritt ein Lauf 
der Kopie mit den gleichen Eingangsdaten bei 14 durchgefiihrt . 
Die Ausgangsdaten dieses Programmlauf s werden mit den Aus- 
gangsdaten der Original-Routine bei 15 verglichen. Im Falle 

15 von Unterschieden wird bei 16 ein Alarm ausgelost. 

In einem weiteren Schritt erfolgt ein Programmlauf der Kopie 
mit Testdaten 17. Die Ausgangsdaten dieses Programmlauf s wer- 
den mit gespeicherten erwarteten Ergebnissen, die in einer 
Look-up-table 18 abgelegt sind, bei 19 verglichen. Treten 
hier Unterschiede auf, wird ebenfalls bei 16 ein Alarm ausge- 
lost. 



20 



Zur Oberwachung dessen, ob die in Fig. 2 dargestellte Oberwa- 
25 chung auch tatsachlich stattfindet, ist vorgesehen, dass nach 
der Ausfilhrung des Programmlauf s der Original-Routine bei 12 
und nach Ausfiihrung der Vergleiche bei 15, 19 Flags in einem 
Register 20 gesetzt werden. Bei 21 wird dann gepruft, ob alle 
Flags gesetzt sind. Ist dieses nicht der Fall, wird bei 22 
30 ein Alarm ausgelost. 

Fig. 3 zeigt das bereits anhand von Fig. 2 erlauterte Oberwa- 
chungsprogramm als Flussdiagramm, das beispielsweise alle 25 
ms wiederholt wird. Dabei wird in einem ersten Programm- 
35 schritt 31 zunachst die Original-Routine abgearbeitet, bei 32 
folgt die Kopie, bei 33 werden die Ergebnisse verglichen. Im 
Programmschritt 34 wird dann die Kopie mit den Testdaten ab- 
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gearbeitet. Danach werden bei 35 die Ergebnisse des Programm- 
laufs 34 miteinander verglichen. Bei 36 wird geprtift, ob alle 
Flags gesetzt sind, worauf bei 37 das Flagregister initiali- 
siert wird, d.h. rtickgesetzt, wenn ein Setzen der Flags, wie 
5 im Zusammenhang mit Fig. 2 erlautert, durchgefuhrt wird. Al- 
ternativ kann anstelle des Setzens des Sets ein Toggeln 
durchgefuhrt werden. 

Anhand von Fig. 4 wird die gegenseitige Oberwachung zweier 
10 Mikrocomputer 3, 5 (Fig. 1) erlautert. Die langgestreckten 
Rechtecke 41, 42 stellen Datentelegramme auf dem SPI-Bus 4 
(Fig. 1) dar mit jeweils einem Identif izierer, raehreren Nutz- 
Datenworten und einer Pruf summe . Die ferner dargestellte 
Struktur ist auf beiden Mikrocomputern vorhanden, die sich 
15 gegenseitig uberwachen. 



Zur Oberprufung des jeweils anderen Mikrocomputers wird in 
dem einen bei .43 eine Aufforderung (Request index) generiert, 
die iiber den SPI-Bus 4 an den anderen Mikrocomputer ubertra- 

20 gen wird. Dort werden aus einer Tabelle 44 Eingangsdaten fur 
die zu iiberprtifende Software-Routine ausgelesen. Diese Daten 
werden in ein Programm 45 ubergeben, das im Wesentlichen die 
Teile 11 bis 15 der Darstellung gemali Fig. 2 enthalt, d.h., 
in dieser Komponente ftihrt der andere Mikrocomputer seine 

25 primare Funktion aus und arbeitet ferner eine Kopie der Soft- 
ware-Routine ab. 

Die Ausgangsdaten der Software-Routine werden in einer weite- 
ren Tabelle 46 in eine Antwort (Response index) umgewandelt, 

30 die zu dem einen Mikrocomputer tibertragen wird (siehe Daten- 
wort 4.7 im Datentelegramm 42). ZweckmaJJigerweise enthalten 
die Aufforderung und die Antwort nur jeweils einen Index, der 
besagt, welche in der Tabelle 44 abgelegten Eingangsdaten fur 
die zu iiberprtifende Software-Routine verwendet werden sollen 

35 bzw. welchen Daten der Tabelle 4 6 die berechneten Ausgangsda- 
ten entsprechen. 
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Der andere Mi kro computer erhalt eine Antwort (Datenwort 48 im 
Datentelegramm 41) unci vergleicht diese bei 49 mit der erwar- 
teteh Antwort. Stimmen beide liberein, wird angenommen, dass 
der andere Mikrocomputer in dieser Hinsicht richtig arbeitet. 
5 Treten jedoch Abweichungen auf, so wird ein Fehlerzahler 50 
inkrementiert . Von Zeit zu Zeit werden in die Ausgangsdaten 
der Tabelle 4 6, also in die Antwort , Fehler eingefiigt, die 
selbst bei richtigem Ablauf der Kopie 14 eine falsche Antwort 
47 zur Folge haben. 

10 

Derjenige Mikrocomputer, der die falsche Antwort erhalt, kann 
jedoch nicht erkennen, ob dies ein nachtraglich eingefuhrter 
Fehler oder ein Fehler durch einen falsch ausgeftihrten Pro- 
grammlauf ist. In ahnlicher Weise werden die im Zusammenhang 
15 mit Fig. 2 beschriebenen Flags bei 52 unterdruckt . Die Flags 
(in Fig. 4 als SR- Flags bezeichnet) werden bei 53 in das Da- 
tentelegramm 42 eingefiigt. Sie fuhren bei dem anderen Pro- 
gramm vom Mikrocomputer im Programmteil 54 zu einer Fehler- 
meldung, wenn sie nicht alle gesetzt bzw. getoggelt sind. 

20 

Ferner wird* der Zahlerstand des FehlerzShlers 50 als weiteres 
Datenwort 55 in das Datentelegramm 42 eingefiigt. Aus dem Da- 
tentelegramm 41 kann der Mikrocomputer das Datenwort 55 ent- 
nehmen und bei 56 uberpriifen, ob der Zahlerstnad dem erwarte- 

25 ten Wert entspricht. Trifft dies nicht zu, wird ebenfalls ei- 
ne Fehlermeldung an den Fehlerzahler 50 gesendet. Die Funkti- 
on 5 6 erhalt Meldungen von den Funktionen 51, 52, wenn eine 
Verfalschung der jeweiligen Daten vorgenommen wurde, so dass 
dies bei dem Vergleich zwischen dem iibertragenen Zahlerstand 

30 und dem erwarteten Zahlerstand berttcksichtigt wird. Damit 

wird ermoglicht, dass durch die Funktionen 51 und 52 die tf- 
berwachung durch den anderen Mikrocomputer richtig durchge- 
flihrt wird. Der Zahlerstand des Zahlers 50 wird bei 57 dar- 
aufhin gepruft, ob ein vorgegebener Schwellwert erreicht ist. 

35 Ist dieses der Fall, wird bei 58 ein Alarm ausgelSst. 
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Verfahren zur Oberwachung des Programmlauf s in einem 
Mikrocomputer eines elektronischen Gerates, insbesonde- 
re einer Sensorschaltung fur Kraf tfahrzeuge, wobei das 
Programm Eingangsdaten verarbeitet und Ausgangsdaten 
erzeugt, dadurch gekennzeichnet, dass zusatzlich zu dem 
Lauf des Prograirans eine Kopie des Programms, die in ei- 
nem anderen Adressenbereich als das Programm im Mikro- 
computer gespeichert ist, mit den fur das Programm vor- 
gesehenen Eingangsdaten ablauft und dass die Ausgangs- 
daten der Kopie mit denen des Programms verglichen wer- 
den und bei Nichtubereinstimmung eine Fehlermeldung er- 
zeugt wird. 



2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass 
ein weiterer Lauf der Kopie vorgesehen ist, bei welchem 
vorgegebene Testdaten verarbeitet werden, dass die Aus- 
gangsdaten des weiteren Laufs der Kopie mit in einem 

20 Speicher abgelegten Vergleichsdaten verglichen werden 

und dass bei Nichtubereinstimmung eine Fehlermeldung 
erzeugt wird. 

3. Verfahren nach einem der vorhergehenden Ansprttche, da- 
25 durch gekennzeichnet, dass nach dem Lauf des Programms 

und nach dem Lauf von Programmteilen, welche zur Durch- 
fuhrung des erf indungsgemafien Verfahrens dienen, je- 
weils ein Flag gesetzt oder geandert wird und dass eine 
Fehlermeldung erzeugt wird, wenn nicht alle Flags ge- 
30 setzt oder geandert wurden. 

4. Verfahren zur Oberwachung des Programmlauf s ' in mindes- 
tens zwei miteinander verbundenen Mikrocomputern eines 
elektronischen Gerates, insbesondere einer Sensor schal- 

35 tun 9 far Kraftfahrzeuge, dadurch gekennzeichnet, dass 

in einem der Mikrocomputer eine Anfrage erzeugt wird, 
welche an den anderen Mikrocomputer gesendet wird und 
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dort mit vorgegebenen Eingangsdaten den Lauf eines Pro- 
gramms bewirkt, dass eine von den Ausgangsdaten abhan- 
gige Antwort an den einen Mikrocomputer zurtickgesendet 
wird und dass in dem einen Mikrocomputer die Anforde- 
rung und die Antwort miteinander verglichen werden. 

Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass 
das Programm eine Kopie eines die eigentliche Funktion 
des anderen Mikrocomputers ausfuhrenden Programms ist. 

Verfahren nach einem der Anspriiche 4 oder 5, dadurch 
gekennzeichnet, dass die Antwort von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 
doch in dem einen Mikrocomputer erwartet und gepruft 
wird. 

Verfahren nach einem der Anspriiche 4 bis 6, dadurch ge- 
kennzeichnet, dass nach dem Lauf des Programms und nach 
dem Lauf von Programmteilen, welche zur Durchfiihrung 
des erfindungsgemaJJen Verfahrens dienen, jeweils ein 
Flag gesetzt oder geandert wird und dass eine Fehler- 
meldung erzeugt wird, wenn nicht alle Flags gesetzt o- 
der geandert wurden. 

Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass 
der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 
doch in dem einen Mikrocomputer erwartet und gepruft 
wird. 



Verfahren nach einem der Anspriiche 4 bis 8, dadurch ge- 
kennzeichnet, dass ein Fehlerzahler in einem der Mikro- 
35 computer Fehler, die fur den jeweils anderen Mikrocom- 

puter festgestellt wurden, zahlt und dass bei Einfiigen 
einer falschen Antwort und/oder einer Verfalschung des 
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Flagregisters der Zahlerstand des Fehlerzahlers in dem- 
jenigen Microcomputer, in dem die Einfugung der fal- 
schen Antwort bzw. die Verfalschung des Inhalts des 
Flagregisters stattfand, nicht geandeft wird. 
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Zusammenfassung 

Verfahren zur Oberwachung des Programmlauf s in einem Micro- 
computer 

5 

Bei einem Verfahren zur Oberwachung des Programmlauf s in ei- 
nem Mikrocomputer eines elektronischen Gerates, insbesondere 
einer Sensorschaltung fur Kraf tf ahrzeuge, wobei das Programm 
Eingangsdaten verarbeitet und Ausgangsdaten erzeugt, lauft 

10 zusatzlich zu dem Lauf des Programms eine Kopie des Pro- 
gramms, die in einem anderen Adressenbereich als das Programm 
im Mikrocomputer gespeichert ist, mit den fur das Programm 
vorgesehenen Eingangsdaten ab. Die Ausgangsdaten der Kopie 
werden mit denen des Programms verglichen und bei Nichtiiber- 

15 einstimmung wird eine Fehlermeldung erzeugt. 
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